C'est un projet qui faisait partie des plans de l'ICANN depuis de nombreuses années, mais des obstacles techniques et politiques se sont dressés pour sa mise en œuvre. Finalement, l'ICANN a annoncé mercredi le déploiement de DNSSEC sur les serveurs racine de l'Internet qui coordonnent le fonctionnement des noms de domaine. Ce travail a été mené en collaboration avec la société de sécurité VeriSign et le Département du Commerce des États-Unis.

DNSSEC ( Domain Name System Security Extensions ) est une technologie qui offre une signature au niveau de la racine du DNS. Les serveurs DNS racine, qui sont au nombre de treize, envoient ainsi des signatures cryptographiques associées à chaque adresse Internet, ce qui permet ainsi de s'assurer de l'intégrité d'un nom de domaine.

Selon l'ICANN, le système des noms de domaine est consulté jusqu'à un trillion de fois chaque jour par près de 1,8 milliard d'internautes dans le monde. " En utilisant une clé publique cryptographique sophistiquée, DNSSEC augmente la confiance dans l'intégrité de ce processus ".

D'après l'ICANN, DNSSEC va permettre de combattre deux types d'attaques cybercriminelles qui menacent les internautes : l'empoisonnement du cache DNS et l'attaque man-in-the-middle ( homme du milieu ). Le cache poisoning se produit lorsque la requête sauvegardée pour un site Web légitime  est détournée pour diriger l'internaute vers un faux où il est à la merci d'actions malveillantes. Une attaque man-in-the-middle implique quant à elle une interception par un tiers d'une communication Web entre deux parties, le tiers se faisant alors passer pour la deuxième partie à l'insu de la première.

Pour Dan Kaminsky, un chercheur en sécurité informatique qui avait justement mis au jour à l'été 2008 une faille DNS mondiale, des moteurs de recherche comme Google ou Bing vont pouvoir exploiter DNSSEC afin par exemple d'authentifier une page Web d'identification à une banque en ligne.

Les bienfaits de ce déploiement de DNSSEC devraient être visibles d'ici 12 à 18 mois. L'Internet ne sera alors pas sûr, mais " plus sûr ".


Définition de DNSSEC par l'AFNIC
: DNSSEC constitue une des extensions du protocole DNS. Cette extension assure, par le biais de signatures numériques, l'authentification et l'intégrité des enregistrements du DNS. Le DNS, une fois sécurisé, peut être utilisé pour stocker des clés d'application  ( ou certificats ). De ce fait, le DNS pourrait être considéré comme une PKI ( Public Key Infrastructure ).